C’est à l’aune de l’émergence d’un droit à la protection des données à caractère personnel consacré notamment par les articles 8§1 de la Charte des droits fondamentaux de l’Union Européenne du 7 décembre 2000 et 16 du Traité sur le Fonctionnement de l’Union Européenne du 25 mars 1957 qu’il existe aujourd’hui, au sein de chaque Etat membre de l’Union Européenne, une institution veillant au respect des données à caractère personnel des citoyens européens, usagers d’internet, à l’instar de la Commission National de l’Informatique et des Libertés (CNIL) en France ou encore de l’Agencia Espagñola de Protección de Datos (AEPD) espagnole. La CNIL a rendu pour la première fois, les 18 et 20 juillet derniers, deux délibérations en formation restreinte prononçant respectivement une sanction pécuniaire à l’encontre de la société HERTZ France et un avertissement public à l’encontre de la société OUICAR sous l’égide de la loi « pour une République numérique » du 7 octobre 2016 portant notamment modification de l’article 47 de la loi « Informatique, fichiers et libertés » du 6 janvier 1978. Désormais, la sanction pécuniaire peut s’élever à hauteur de 3 millions d’euros. A la lumière des objectifs de responsabilisation des acteurs traitant des données à caractère personnel et de crédibilisation des mécanismes de régulation figurant dans le Règlement européen du Parlement Européen et du Conseil du 27 avril 2016 la question de la proportionnalité d’une telle sanction au regard de l’atteinte portée mérite d’être posée.
La sanction pécuniaire de la CNIL renforcée par la nouvelle loi « pour une République numérique » du 7 octobre 2016 : un effort vain
Depuis l’entrée en vigueur de la loi « pour une République numérique » du 7 octobre 2016, la CNIL, autorité administrative indépendante dont les fonctions sont régies par la loi « relative à l’informatique, aux fichiers et aux libertés » du 6 janvier 1978, voit aujourd’hui ses pouvoir accrus, laissant ainsi présager une possible recrudescence des sanctions pécuniaires prononcées à l’encontre des responsables de traitement de données à caractère personnel ayant fauté. En effet, l’article 47 de la loi Informatique, fichiers et libertés du 6 janvier 1978 modifié par la loi « pour une République numérique » du 7 octobre 2016 dispose désormais que « le montant de la sanction pécuniaire […] proportionné à la gravité des manquements commis […] ne peut excéder 3 millions d’euros ». Ceci allant dans le sens d’un renforcement de la sanction puisque celle-ci ne pouvait excéder 300 000€ en cas de manquement réitéré, le montant de la sanction étant de 150 000€ en cas de premier manquement, dans la version du même article alors en vigueur du 31 mars 2011 au 9 octobre 2016.
S’agirait-il enfin de la consécration d’une sanction de poids visant directement les responsables de traitement des données à caractère personnel peu vigilants ?
On se souvient tous de l’affaire ayant fait grand bruit entre 2015 et 2017 mettant en cause le réseau social Facebook qui, en 2015, après avoir annoncé la modification de sa politique d’utilisation des données personnelles s’était vu infliger diverses sanctions pécuniaires à la fois par la CNIL, par le Tribunal de première instance Néerlandophone de Bruxelles, ou encore par l’Agencia Espagñola de Protección de Datos espagnole. Il lui était reproché d’avoir notamment procédé à la combinaison de données fournies par les inscrits lors de la création de leur compte sur le réseau social, de données relatives à l’activité des inscrits (au partage ou à la consultation), de données relatives aux appareils utilisés par les inscrits, et de données provenant de sites tiers et d’applications intégrant notamment les boutons « j’aime » ou « se connecter » et ce à des fins de ciblage publicitaire. La CNIL reprochait au réseau social de ne pas avoir obtenu le consentement des utilisateurs du réseau social qui était requis en vertu de l’article 7 de la loi du 6 janvier 1978.
De plus, il était également reproché au réseau social de manquer à son obligation d’information des inscrits, consacrée à l’article 32 de la loi du 6 janvier 1978, concernant le traitement de leurs données à caractère personnel ainsi que la nature des données transférées hors de l’Union Européenne, la finalité du transfert, les destinataires des données et le niveau de protection offert par les pays destinataires. En vertu de sa délibération rendue en formation restreinte du 27 avril 2017 la CNIL prononce alors à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND une sanction pécuniaire de 150 000€. Alors que la CNIL statuant point par point, et de manière très détaillée, sur les possibles manquements des deux sociétés (celle-ci se prononce sur les manquements à l’obligation d’informer les personnes, à l’obligation de disposer d’une base légale pour tout traitement mis en œuvre, à l’obligation de procéder à une collecte et à un traitement légal des données, à l’obligation de mettre à disposition un moyen d’opposition valable aux informations stockées sur l’équipement terminal de communication électronique des utilisateurs), et constatant par ailleurs que les droits de près de 33 millions d’utilisateurs furent lésés, comment peut-on concevoir qu’une société telle que Facebook, au chiffre d’affaires de 4,7 milliards d’euros en janvier 2016, n’ait finalement qu’à payer près de 0,0045 euros par personne lésée ?
La sanction pécuniaire, pouvant désormais s’élever à un montant de 3 millions d’euros, voit son maxima augmenté, ce qui pourrait rassurer, quand on sait également que celle-ci ne constitue pas encore la sanction la plus dissuasive dans l’échelle des sanctions dont dispose la CNIL à l’égard des responsables de traitement fautifs. En effet, en cas d’atteinte au respect de la protection des données personnelles par un responsable de traitement de données, la CNIL dispose de plusieurs moyens juridiques contraignants, de gradation croissante, qu’elle met en œuvre en fonction des situations auxquelles elle fait face. En premier lieu, lorsqu’une atteinte au respect de la protection des données est constatée, le Président de la CNIL a la possibilité de mettre en demeure le responsable du traitement de faire cesser l’atteinte. Si celui-ci s’exécute, le Président prononce alors la clôture de la procédure. Dans le cas contraire, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, quatre types de sanctions à savoir : l’avertissement, la sanction pécuniaire, l’injonction de faire cesser le traitement ou de demander un retrait de l’autorisation accordée en application de l’article 25 de la Loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifié par la loi « pour une République numérique » de 2016, enfin, elle peut informer le Premier ministre pour que celui-ci prenne les mesures permettant de faire cesser la violation constatée.
Ainsi, après l’entrée en vigueur de la loi « pour une République numérique » du 7 octobre 2016, alors que demeurait l’espoir qu’une justice plus grande soit rendue, celle-ci demeure toujours insatisfaite. Raison en est donnée aux deux décisions rendues par la CNIL sous l’égide de ladite loi. Dans la première, en date du 18 juillet 2017, la société HERTZ France fût sanctionnée pour violation du respect des données à caractère personnel en raison d’un manquement constaté à l’obligation de sécurité des données consacrée à l’article 34 de la loi relative à l’informatique, aux fichiers et libertés du 6 janvier 1978 modifié, et ce à juste titre. En effet, après investigation, les agents de la CNIL ont eu accès librement, à partir d’une adresse URL, aux données personnelles renseignées par 35 357 personnes sur le site www.cartereduction-hertz.com. Ce manquement à l’obligation consacrée à l’article 34 de la loi a pour origine une erreur commise par un sous-traitant, prestataire et en charge du développement du site internet de HERTZ, de la société, lors d’une opération de changement de serveur impliquant alors la suppression accidentelle d’une ligne de code. Ceci ayant entrainé le réaffichage des formulaires remplis par les adhérents au programme de réduction.
Il est à noter que désormais, le Règlement européen du 27 avril 2016, étend aux sous-traitant une grande partie des obligations imposées aux responsables de traitement eux-mêmes (en son article 28) et astreint, en vertu de son article 32, les responsables de traitement à une obligation de sécurisation des données personnelles, ce qui pourrait laisser conduire à penser que de tels manquements ne puissent alors plus être si fréquents.
Dans cette affaire encore, la sanction pécuniaire semble être de faible importance puisqu’elle s’élève seulement à 40 000€. Cependant elle paraît justifiée. En effet, est fait état, dans l’argumentaire de la CNIL, de la réactivité de la société qui, de sa propre initiative, diligenta un audit de sécurité de son prestataire, ainsi que de sa bonne coopération avec la Commission ce qui vient au soutien d’une sanction « proportionnée ».
A supposer que l’on pourrait se réjouir d’un durcissement des sanctions prononcées à l’égard des responsables de traitement ayant porté atteinte à l’obligation de sécurité et de confidentialité des données, on peut constater que cette sanction pécuniaire ne sera prononcée que pour des atteintes constituées après l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016 et ce en vertu du principe général de non-rétroactivité des lois énoncé à l’article 2 du code civil en ces termes « La loi ne dispose que pour l’avenir ; elle n’a point d’effet rétroactif ». On comprend alors pourquoi, alors que les données des utilisateurs du site www.ouicar.fr (une plateforme de location de véhicule entre particuliers) étaient accessibles durant près de trois ans, la CNIL dans sa délibération en formation restreinte du 20 juillet 2017 n’a pu prononcer de sanction d’importance, les faits remontant à une date antérieure à l’entrée en vigueur de la loi de 2016.
Ainsi, alors que la volonté de renforcer la sanction pécuniaire dont dispose la CNIL semble vaine, la question de l’existence de dispositions alternatives garantissant les droits des internautes lésés peut se poser.
La publicité de la décision
Alors que le montant des sanctions pécuniaires ne semble pas pouvoir encore répondre à une nécessité de justice d’internautes lésés, on peut cependant essayer de trouver un certain réconfort dans l’impact que revêtent de telles décisions du fait de leur publicité. En effet, il est possible pour la CNIL de rendre publiques les décisions qu’elle prend en formation restreinte ce qui représente également une sanction. En effet, à l’époque où la décision prononcée à l’encontre de Facebook fût publiée, de nombreux quotidiens et hebdomadaires nationaux et internationaux tels que le Monde, Le Figaro, Courier International, Mediapart, der Spiegel ou encore the New York Time, pour n’en citer que les plus connus, n’ont eu de cesse de faire état du montant si peu important des sanctions pécuniaires octroyées aux sociétés Facebook Ink et Ireland et du nombre d’internautes mis en cause. Alors qu’un internaute prend aujourd’hui conscience plus que jamais de l’utilisation de ses données personnelles à des fins publicitaires, lui ouvrant par ailleurs le droit à un accès gratuit au réseau social qu’est Facebook, celui-ci peut se satisfaire que la presse ainsi que des instances de régulation telles la CNIL fassent preuve de transparence à son égard.
L’obligation de sécurité incombant au responsable de traitement
Le « règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et la libre circulation de ces données » du 27 avril 2016 en son article 83 prévoit, s’agissant des amendes administratives, des sanctions bien plus importantes que la loi « pour une République numérique » du 7 octobre 2016 qui, selon la catégorie de l’infraction, peuvent aller de 10 à 20 millions d’euros, ou pour une entreprise, de 2% à 4% du chiffre d’affaires annuel mondial ce qui nous confine enfin, pourrait-on dire, à une forme d’optimisme.
De plus, comme évoqué précédemment ce même règlement astreint désormais les responsables de traitements à une obligation de sécurisation des données personnelles. Son article 32 dispose que « 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel […] ». Ainsi, une des solutions pour garantir enfin une parfaite sécurisation des données personnelles, et d’éviter toute violation de celles-ci, serait de parvenir d’une part à remplacer un identifiant par un pseudonyme (ce qu’on appelle l’anonymisation réversible), ce moyen permettant dans un premier temps de ne pouvoir identifier directement une personne mais de pouvoir lever son anonymat en cas de besoin dans un second temps. Et d’autre part, de crypter les données personnelles des personnes, ce qui revient à transformer une information, au moyen de clefs, afin que celle-ci ne soit compréhensible que par les personnes disposant de la clef et souhaitant échanger des informations entre elles. Ce chiffrement (ou cryptage) permettant également d’assurer l’intégrité de l’information ainsi que son authenticité. Voilà alors, des solutions qui devront être mises en œuvre en amont aux fins de prévenir toute atteinte, par les responsables de traitements, à des données personnelles qu’ils ont à traiter.
L’action de groupe en matière de données personnelles
Des pistes de réflexions furent initiées suite à l’entrée en vigueur de la « loi Hamon, relative à la consommation », du 17 mars 2014 consacrant l’action de groupe en matière de droit de la consommation dans un article L.623-1 du code de la consommation disposant que « les dommages subis par les « consommateurs » doivent résulter d’un « manquement [du professionnel] à ses obligations légales ou contractuelles » soit à l’occasion de la vente de biens ou de la fourniture de service, soit résultant de pratiques anticoncurrentielles, afin de voir s’il était possible, à l’instar de cette action de groupe, à visée indemnitaire, d’instaurer une action similaire, relative à la protection des données personnelles.
Suite à une étude annuelle du Conseil d’état en datant de 2014 intitulée « Le numérique et les droits fondamentaux », ainsi qu’à une commission de réflexions et de propositions sur les droits et les libertés à l’âge du numérique, à plusieurs propositions de la Cnil sur les évolutions de la loi « Informatique et libertés » dans le cadre du projet de loi numérique en date du 13 janvier 2015 et à la proposition n°5 du Conseil national du numérique, sur l’« Ambition numérique » de 2015, a été créé, dans le cadre la « loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle », un cadre général de l’action de groupe, se distinguant de celle existante en matière de droit de la consommation. En effet, l’article 92 de cette loi dispose que « l’action de groupe créée par cette loi est distincte de l’action de groupe en matière de consommation », ce qui exclut bien l’action de groupe du droit de la consommation du champ d’application de la loi du 18 novembre 2016 de “modernisation de la justice du XXIe siècle”. En outre, à l’article 60 de cette loi est consacrée une liste de 5 actions, dont une action ouverte sur le fondement de l’article 43 ter de la loi du 6 janvier 1978 disposant que « […] II. Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ». Dès lors, on pourrait penser que les internautes, lésés dans leurs droits et estimant qu’une trop faible sanction a été prononcée à l’égard du responsable de traitement de leurs données à caractère personnel, pourraient alors se voir indemnisés et voir enfin justice rendue à leur égard. Cependant il n’en n’est rien, ou presque, en effet l’article 43 ter précité dispose ensuite que « III.-Cette action tend exclusivement à la cessation de ce manquement ». Ce qui signifie en d’autres termes, que cette action ne peut tendre à une indemnisation pécuniaire. En effet, seule la cessation d’un manquement peut être demandée et cette action ne tend en aucun cas à la réparation des préjudices individuels, alors que pourtant, et assez contradictoirement, pour pouvoir introduire une telle action, la preuve d’un dommage (moral la plupart du temps) est demandée.
SOURCES:
FOREST D, « Facebook interroge la souveraineté numérique », Dalloz IP/IT , 2016 p.263
GATEAU (C) et Faron (P), « Retour sur la création de l’action de groupe en matière de données personnelles en droit français », Lamy Revue droit de l’immatériel, Juin 2017, p42-p46
Délibération de la formation restreinte de la CNIL 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034728338&fastReqId=390211096&fastPos=2, mis en ligne le 17 mai 2017, consulté le 20 octobre 2017
Délibération de la formation restreinte de la CNIL du 20 juillet 2017 prononçant un avertissement public à l’encontre de la société OUICAR, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035272571&fastReqId=2081373548&fastPos=1, mis en ligne le 26 juillet 2017, consulté le 20 octobre 2017
Délibération de la formation restreinte de la CNIL du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ France, https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035276047&fastReqId=623604798&fastPos=1, mis en ligne le 27 juillet, consulté le 20 octobre 2017